[opensuse-es] [OT] ¿Navegadores seguros?
Artículo de Ars Technica, acerca del concurso para romper bien a los navegadores. A leer. ;) http://arstechnica.com/security/news/2011/03/pwn2own-day-one-safari-ie8-fall... -- Carlos A. -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Wed, 09 Mar 2011 22:10:05 -0500, Shinji Ikari escribió:
Artículo de Ars Technica, acerca del concurso para romper bien a los navegadores. A leer. ;)
http://arstechnica.com/security/news/2011/03/pwn2own-day-one-safari-ie8-fall...
¿Sabes qué es lo que más me acongoja? Que haya caído Safari ejecutándose sobre un MacOS X, primo hermano de linux :-{ Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
O Xoves, 10 de Marzo de 2011 20:02:43 Camaleón escribiu:
El Wed, 09 Mar 2011 22:10:05 -0500, Shinji Ikari escribió:
Artículo de Ars Technica, acerca del concurso para romper bien a los navegadores. A leer. ;)
http://arstechnica.com/security/news/2011/03/pwn2own-day-one-safari-ie8-f all-chrome-unchallenged.ars
¿Sabes qué es lo que más me acongoja? Que haya caído Safari ejecutándose sobre un MacOS X, primo hermano de linux :-{
Saludos, Pena me da...
...no tengo a mano nada para celebrarlo... con familia así, vivan los desconocidos. Salud!! -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Thu, 10 Mar 2011 20:58:52 +0100, Karl García Gestido escribió:
O Xoves, 10 de Marzo de 2011 20:02:43 Camaleón escribiu:
¿Sabes qué es lo que más me acongoja? Que haya caído Safari ejecutándose sobre un MacOS X, primo hermano de linux :-{
Pena me da...
...no tengo a mano nada para celebrarlo... con familia así, vivan los desconocidos.
Pues no sé qué decirte... no tengo nada en contra de MacOS X (estéticas e interfaces aparte) y la facilidad con la que han podido ejecutar código en remoto a través de Safari, asusta (¿qué pasaría con Konqueror bajo linux, caería con igual facilidad?). Ahora, si me dices que le han entrado hasta en la cocina a Apple, entonces bailo sobre la mesa ;-) Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
O Venres, 11 de Marzo de 2011 13:14:07 Camaleón escribiu:
El Thu, 10 Mar 2011 20:58:52 +0100, Karl García Gestido escribió:
O Xoves, 10 de Marzo de 2011 20:02:43 Camaleón escribiu:
¿Sabes qué es lo que más me acongoja? Que haya caído Safari ejecutándose sobre un MacOS X, primo hermano de linux :-{
Pena me da...
...no tengo a mano nada para celebrarlo... con familia así, vivan los desconocidos.
Pues no sé qué decirte... no tengo nada en contra de MacOS X (estéticas e interfaces aparte) y la facilidad con la que han podido ejecutar código en remoto a través de Safari, asusta (¿qué pasaría con Konqueror bajo linux, caería con igual facilidad?).
Ahora, si me dices que le han entrado hasta en la cocina a Apple, entonces bailo sobre la mesa ;-)
Saludos,
No es por eso, en realidad ya lo hemos tratado en off-topic. Es peor, para el software libre, el software cerrado de calidad. Y más si es software privativo desarrollado a partir de software libre -lo cual, duele aún más xdddd pero también hemos hablado de las distintas licencias libres y el concepto de libertad que tiene cada uno-. No, no me da ninguna pena. En realidad, hoy por hoy aportó mucho más al software Microsoft, por mucho que nos duela, que Apple. Ambas copiaron el software de otros, ambas modificaron software propietario y lo cerraron... Al menos Microsoft popularizó el modelo de computación que usamos la mayoría: el computador personal, con todos sus "artefactos", la inmensa variedad de hardware que se ejecuta sobre él. El concepto de computador de Apple siempre fue muy curioso, pero poco útil salvo para "freelances"... y hoy aportan mucha publicidad a dispositivos que no tenemos claro para qué sirven -y lo mejor es que la industria les sigue xddd al menos antes tenían más sentido común... por ejemplo, ¿os fijasteis que lo único que no dice de la utilidad del iPhone 4 en el anuncio es que se puede usar de teléfono? xddd no sé si será muy fácil subir una foto a Facebook, pero con los problemas de cobertura que tiene no veo yo cómo hará el envío... xdddd -. En realidad, los problemas de seguridad de Mac están bien relacionados con la tradicional discusión sobre la ventaja o desventaja del modelo abierto sobre el cerrado. Creo haber leído en el artículo -mi inglés es un poco deficiente a veces- que el problema no estaba en el sistema de renderizado precisamente. Por otra parte, hoy por hoy Konqueror bastante tiene con funcionar bien cuando tiene que hacerlo. La probabilidad de que no ejecute código malicioso está más vinculada a la improbabilidad de que ejecute un código aunque no sea malicioso xddd En retrospectiva, tal vez deberían haber sustituido el motor Khtml por Webkit cuando Apple "sacó" Safari... era un navegador interesante, pero ha sufrido mucho por el abandono... -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Fri, 11 Mar 2011 13:28:52 +0100, Karl García Gestido escribió:
O Venres, 11 de Marzo de 2011 13:14:07 Camaleón escribiu:
Pues no sé qué decirte... no tengo nada en contra de MacOS X (estéticas e interfaces aparte) y la facilidad con la que han podido ejecutar código en remoto a través de Safari, asusta (¿qué pasaría con Konqueror bajo linux, caería con igual facilidad?).
Ahora, si me dices que le han entrado hasta en la cocina a Apple, entonces bailo sobre la mesa ;-)
No es por eso, en realidad ya lo hemos tratado en off-topic. Es peor, para el software libre, el software cerrado de calidad. Y más si es software privativo desarrollado a partir de software libre -lo cual, duele aún más xdddd pero también hemos hablado de las distintas licencias libres y el concepto de libertad que tiene cada uno-.
Peor que el software cerrado (de calidad o no) son las mentes cerradas y la de la política de Apple se lleva la palma :-/
No, no me da ninguna pena.
(...) Lo decía por linux, más que nada. La prueba de los navegadores sólo se va a ejecutar sobre Windows y MacOS X y bueno, no sé cuántas diferencias puede haber entre la gestión de seguridad que tiene MacOS X y las distribuciones Linux actuales, pero debe correr pareja.
En realidad, los problemas de seguridad de Mac están bien relacionados con la tradicional discusión sobre la ventaja o desventaja del modelo abierto sobre el cerrado. Creo haber leído en el artículo -mi inglés es un poco deficiente a veces- que el problema no estaba en el sistema de renderizado precisamente.
Pues no sé... pero algo me dice que si le entran a este (macos), nosotros (linux) no debemos andar muy lejos. Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
O Venres, 11 de Marzo de 2011 14:13:13 Camaleón escribiu:
El Fri, 11 Mar 2011 13:28:52 +0100, Karl García Gestido escribió:
(...)
Lo decía por linux, más que nada. La prueba de los navegadores sólo se va a ejecutar sobre Windows y MacOS X y bueno, no sé cuántas diferencias puede haber entre la gestión de seguridad que tiene MacOS X y las distribuciones Linux actuales, pero debe correr pareja.
En realidad, los problemas de seguridad de Mac están bien relacionados con la tradicional discusión sobre la ventaja o desventaja del modelo abierto sobre el cerrado. Creo haber leído en el artículo -mi inglés es un poco deficiente a veces- que el problema no estaba en el sistema de renderizado precisamente.
Pues no sé... pero algo me dice que si le entran a este (macos), nosotros (linux) no debemos andar muy lejos.
Saludos,
Ummm no sé qué herramientas de seguridad provee MacOS, pero no sé qué me da que muchas muchas no son... además, EMHO el modelo privativo hace que a la larga el código sea más vulnerable: el abierto tiende a tener pequeñas fallas que son vistas -no siempre arregladas xd- pero en cambio al tener la vista puesta en los fallos, es en principio más sencillo evitar un fallo grave. Claro que en el pasado ya hubo algún fallo importante que pasó desapercibido mucho tiempo, pero creo que en general es menos probable. Pero esto es mi opinión y se debate con cierta regularidad en muchos sitios xd En cuanto a los demás... si no solemos molestarnos en usar las herramientas básicas del sistema (selinux, apparmour,...), utilizamos muchas de las opciones de comodidad... en los navegadores metemos cuanto plugin encontramos, permitimos que ejecute código -java, que javascript que flash que lo que quieras ;) - sin preocuparnos... es decir, lo que sería increíble es que un navegador estándar, en la plataforma que sea, no ejecutase código malicioso xdddd Salud!! -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Fri, 11 Mar 2011 15:06:04 +0100, Karl García Gestido escribió:
O Venres, 11 de Marzo de 2011 14:13:13 Camaleón escribiu:
En realidad, los problemas de seguridad de Mac están bien relacionados con la tradicional discusión sobre la ventaja o desventaja del modelo abierto sobre el cerrado. Creo haber leído en el artículo -mi inglés es un poco deficiente a veces- que el problema no estaba en el sistema de renderizado precisamente.
Pues no sé... pero algo me dice que si le entran a este (macos), nosotros (linux) no debemos andar muy lejos.
Ummm no sé qué herramientas de seguridad provee MacOS, pero no sé qué me da que muchas muchas no son...
Parece que usa DEP y ASLR, o eso dicen en la noticia. Y además, el navegador se ejecuta aislado, en una sandbox, que también se han saltado a la torera.
además, EMHO el modelo privativo hace que a la larga el código sea más vulnerable: el abierto tiende a tener pequeñas fallas que son vistas -no siempre arregladas xd- pero en cambio al tener la vista puesta en los fallos, es en principio más sencillo evitar un fallo grave. Claro que en el pasado ya hubo algún fallo importante que pasó desapercibido mucho tiempo, pero creo que en general es menos probable. Pero esto es mi opinión y se debate con cierta regularidad en muchos sitios xd
¿Quieres decir que un linux "cerrado" sería igualmente vulnerable y que la propia arquitectura del SO no cuenta para nada? ¿Y que un windows abierto (libre) sería más robusto? >;-)
En cuanto a los demás... si no solemos molestarnos en usar las herramientas básicas del sistema (selinux, apparmour,...), utilizamos muchas de las opciones de comodidad... en los navegadores metemos cuanto plugin encontramos, permitimos que ejecute código -java, que javascript que flash que lo que quieras ;) - sin preocuparnos... es decir, lo que sería increíble es que un navegador estándar, en la plataforma que sea, no ejecutase código malicioso xdddd
No sé qué tipo de complementos permitirá usar un Safari "enjaulado" :-? Por lo que comentan en la nota, lo que han conseguido es ejecutar una aplicación inocua (calculadora) y guardar un archivo en el disco duro del equipo aprovechando algún agujero no parcheado del navegador (Safari). Supongo que aquí el culpable sería el navegador, pero el SO también debería tener algo que decir ¿no? y en este caso el sistema (MacOS X) estaba completamente actualizado. Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
O Venres, 11 de Marzo de 2011 16:21:09 Camaleón escribiu:
El Fri, 11 Mar 2011 15:06:04 +0100, Karl García Gestido escribió:
O Venres, 11 de Marzo de 2011 14:13:13 Camaleón escribiu:
(...)
¿Quieres decir que un linux "cerrado" sería igualmente vulnerable y que la propia arquitectura del SO no cuenta para nada? ¿Y que un windows abierto (libre) sería más robusto? >;-)
Windows no tiene un buen diseño de punto de partida, pero sí, a la larga... al menos, es la teoría... ;)
En cuanto a los demás... si no solemos molestarnos en usar las herramientas básicas del sistema (selinux, apparmour,...), utilizamos muchas de las opciones de comodidad... en los navegadores metemos cuanto plugin encontramos, permitimos que ejecute código -java, que javascript que flash que lo que quieras ;) - sin preocuparnos... es decir, lo que sería increíble es que un navegador estándar, en la plataforma que sea, no ejecutase código malicioso xdddd
No sé qué tipo de complementos permitirá usar un Safari "enjaulado" :-?
Por lo que comentan en la nota, lo que han conseguido es ejecutar una aplicación inocua (calculadora) y guardar un archivo en el disco duro del equipo aprovechando algún agujero no parcheado del navegador (Safari). Supongo que aquí el culpable sería el navegador, pero el SO también debería tener algo que decir ¿no? y en este caso el sistema (MacOS X) estaba completamente actualizado.
Lo interesante es si escala privilegios o no (cosa que puede hacer una calculadora), claro que podría aprovecharse una vulnerabilidad incluso no demasiado grave para colar un troyano... Por lo que yo entiendo, y no soy usuario profesional, por ejemplo un Ubuntu estándar, o muchas de sus múltiples variantes, tiene más peligro que una excursión de ESO a un polvorín xd, no por el sistema en sí, sinó por el usuario "relajado" que permite y fomenta. Tengo probado alguna distro que tenía unos requerimentos de seguridad, por decirlo así, "laxos". Por otra parte, muchos usuarios usan "setuid root" como quien cocina palomitas y he visto cosas como "¿cómo hacer que el sistema permita ejecutar aplicaciones root sin ser root y sin contraseña ni nada?", lo que en ámbitos cifrados y seguros puede tener algún sentido (quizá, si acaso) pero en la mayoría de situaciones no es más que añadir inseguridad a un sistema inseguro. Ah! y no olvidemos que un Windows (o el que quieras) bien administrado es más seguro que un "Unix-like" mal configurado o mal administrado. Salud!! -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Sat, 12 Mar 2011 00:57:53 +0100, Karl García Gestido escribió:
O Venres, 11 de Marzo de 2011 16:21:09 Camaleón escribiu:
¿Quieres decir que un linux "cerrado" sería igualmente vulnerable y que la propia arquitectura del SO no cuenta para nada? ¿Y que un windows abierto (libre) sería más robusto? >;-)
Windows no tiene un buen diseño de punto de partida, pero sí, a la larga... al menos, es la teoría... ;)
Hum, esa teoría no me termina de convencer. En el caso de Windows, si su desarrollo fuera completamente abierto, si todos conocieran sus puntos flacos y fuera más sencillo desarrollar malware, quizá incluso sería imposible tenerlo instalado porque caería al poco tiempo o estaría infectado a las pocas horas. Habría que rediseñar por completo la base del sistema, sería un SO nuevo.
No sé qué tipo de complementos permitirá usar un Safari "enjaulado" :-?
Por lo que comentan en la nota, lo que han conseguido es ejecutar una aplicación inocua (calculadora) y guardar un archivo en el disco duro del equipo aprovechando algún agujero no parcheado del navegador (Safari). Supongo que aquí el culpable sería el navegador, pero el SO también debería tener algo que decir ¿no? y en este caso el sistema (MacOS X) estaba completamente actualizado.
Lo interesante es si escala privilegios o no (cosa que puede hacer una calculadora), claro que podría aprovecharse una vulnerabilidad incluso no demasiado grave para colar un troyano...
Colarlo es una cosa, activarlo es otra.
Por lo que yo entiendo, y no soy usuario profesional, por ejemplo un Ubuntu estándar, o muchas de sus múltiples variantes, tiene más peligro que una excursión de ESO a un polvorín xd, no por el sistema en sí, sinó por el usuario "relajado" que permite y fomenta. Tengo probado alguna distro que tenía unos requerimentos de seguridad, por decirlo así, "laxos". Por otra parte, muchos usuarios usan "setuid root" como quien cocina palomitas y he visto cosas como "¿cómo hacer que el sistema permita ejecutar aplicaciones root sin ser root y sin contraseña ni nada?", lo que en ámbitos cifrados y seguros puede tener algún sentido (quizá, si acaso) pero en la mayoría de situaciones no es más que añadir inseguridad a un sistema inseguro.
No he leído datos sobre la configuración de los equipos que participaban en el concurso, por lo que no te puedo decir si han mantenido la configuración predeterminada (tal cual como quedan después de instalar) o tienen algún ajuste especial, pero repito, estamos hablando de MacOS X, un sistema basado en BSD muy similar a Linux, y de Safari (en el que se ha basado Konqueror). Y han tardado 5 segundos en saltarse un sistema de 64 bits basado en BSD y la sandbox del navegador. No es muy alentador, la verdad :-)
Ah! y no olvidemos que un Windows (o el que quieras) bien administrado es más seguro que un "Unix-like" mal configurado o mal administrado.
Sí, en eso estoy de acuerdo. Hace unos días MS sacaba un parche (vía windows update) donde se desactivaba la autoejecución de los dispositivos de almacenamiento extraíble. Un buen administrador lo habría mantenido desactivado desde el principio. Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
O Sábado, 12 de Marzo de 2011 12:12:45 Camaleón escribiu:
El Sat, 12 Mar 2011 00:57:53 +0100, Karl García Gestido escribió:
O Venres, 11 de Marzo de 2011 16:21:09 Camaleón escribiu:
¿Quieres decir que un linux "cerrado" sería igualmente vulnerable y que la propia arquitectura del SO no cuenta para nada? ¿Y que un windows abierto (libre) sería más robusto? >;-)
Windows no tiene un buen diseño de punto de partida, pero sí, a la larga... al menos, es la teoría... ;)
Hum, esa teoría no me termina de convencer.
Je,je, no se pretende... yo tengo una posición similar a la que refleja, pero otros tendrán otras ideas :) Es un tema ciertamente recurrente y EMHO la informática es una ciencia demasiado joven para poder establecer ciertos postulados. Incluso en qué medida es una ciencia es algo discutible y ciertamente discutido xd
En el caso de Windows, si su desarrollo fuera completamente abierto, si todos conocieran sus puntos flacos y fuera más sencillo desarrollar malware, quizá incluso sería imposible tenerlo instalado porque caería al poco tiempo o estaría infectado a las pocas horas.
Habría que rediseñar por completo la base del sistema, sería un SO nuevo.
O no... todo eso cae en la categoría del "tal vez" o "si acaso". No se puede establecer postura alguna en base a cosas así. En realidad, la calidad del software depende, finalmente, de la "calidad" de la gente que participa en su desarrollo. Por citar ejemplos, mejor muchos "testadores", pero si estos no informan adecuadamente de lo que encuentran, no haremos nada xd
No sé qué tipo de complementos permitirá usar un Safari "enjaulado" :-?
Por lo que comentan en la nota, lo que han conseguido es ejecutar una aplicación inocua (calculadora) y guardar un archivo en el disco duro del equipo aprovechando algún agujero no parcheado del navegador (Safari). Supongo que aquí el culpable sería el navegador, pero el SO también debería tener algo que decir ¿no? y en este caso el sistema (MacOS X) estaba completamente actualizado.
Lo interesante es si escala privilegios o no (cosa que puede hacer una calculadora), claro que podría aprovecharse una vulnerabilidad incluso no demasiado grave para colar un troyano...
Colarlo es una cosa, activarlo es otra.
En este contexto, no. Es el propio navegador el que lo activa. Podrías, por ejemplo, obtener una contraseña de un sitio por el vulgar procedimiento de pedir la contraseña xd
Por lo que yo entiendo, y no soy usuario profesional, por ejemplo un Ubuntu estándar, o muchas de sus múltiples variantes, tiene más peligro que una excursión de ESO a un polvorín xd, no por el sistema en sí, sinó por el usuario "relajado" que permite y fomenta. Tengo probado alguna distro que tenía unos requerimentos de seguridad, por decirlo así, "laxos". Por otra parte, muchos usuarios usan "setuid root" como quien cocina palomitas y he visto cosas como "¿cómo hacer que el sistema permita ejecutar aplicaciones root sin ser root y sin contraseña ni nada?", lo que en ámbitos cifrados y seguros puede tener algún sentido (quizá, si acaso) pero en la mayoría de situaciones no es más que añadir inseguridad a un sistema inseguro.
No he leído datos sobre la configuración de los equipos que participaban en el concurso, por lo que no te puedo decir si han mantenido la configuración predeterminada (tal cual como quedan después de instalar) o tienen algún ajuste especial, pero repito, estamos hablando de MacOS X, un sistema basado en BSD muy similar a Linux, y de Safari (en el que se ha basado Konqueror). Y han tardado 5 segundos en saltarse un sistema de 64 bits basado en BSD y la sandbox del navegador. No es muy alentador, la verdad :-) Darwin (y con él, MacOS) es un "BSD-like" en parecida medida a que GNU/Linux es un "System V -like"... Darwin no es FreeBSD y deberíamos conocer sus características técnicas al detalle para saber si al respecto de la seguridad es como FreeBSD o no.
Ah! y no olvidemos que un Windows (o el que quieras) bien administrado es más seguro que un "Unix-like" mal configurado o mal administrado.
Sí, en eso estoy de acuerdo.
Hace unos días MS sacaba un parche (vía windows update) donde se desactivaba la autoejecución de los dispositivos de almacenamiento extraíble. Un buen administrador lo habría mantenido desactivado desde el principio.
'Xacto.
Saludos,
Salud!! -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
participants (3)
-
Camaleón
-
Karl García Gestido
-
Shinji Ikari